IT-Sicherheit für KMU: 7 Schwachstellen beheben

Rund 43 Prozent aller Cyberangriffe weltweit richten sich gegen kleine und mittlere Unternehmen. Das geht aus dem Verizon Data Breach Investigations Report hervor. Die Angreifer wählen KMU nicht trotz ihrer geringeren Bekanntheit, sondern genau wegen ihr: Wer wenig Budget für IT-Sicherheit einplant, bietet angreifbare Fläche. Die gute Nachricht ist, dass sich die häufigsten Schwachstellen mit überschaubarem Aufwand schließen lassen.

1. Fehlende oder veraltete Patch-Strategie

Ungepatchte Software ist nach wie vor der häufigste Einstiegspunkt für Angreifer. Das BSI dokumentiert regelmäßig kritische Lücken in weit verbreiteter Software wie Microsoft Exchange, Adobe Acrobat oder VPN-Clients verschiedener Hersteller. Zwischen dem Bekanntwerden einer Lücke und dem ersten aktiven Exploit vergehen laut Studien im Schnitt weniger als 15 Tage. Unternehmen, die Patches manuell einspielen und dabei keine feste Routine haben, sind in dieser Zeitspanne schutzlos.

Die Lösung ist kein Hexenwerk: Automatisches Windows Update reicht für Workstations in den meisten Fällen aus. Für Server und Netzwerkgeräte braucht es einen dokumentierten Patch-Zyklus, mindestens monatlich, bei kritischen Lücken sofort. Ein zentrales Patch-Management-Tool wie WSUS oder ein Drittanbieter-Produkt schafft Überblick und Nachweisbarkeit.

2. Schwache oder wiederverwendete Passwörter

Password-Spraying und Credential-Stuffing sind keine hochkomplexen Angriffstechniken. Angreifer testen systematisch bekannte Passwörter aus geleakten Datenbanken gegen Unternehmensportale, VPN-Zugänge oder Cloud-Dienste. Laut dem HaveIBeenPwned-Datensatz taucht die Kombination aus bekannten E-Mail-Adressen und schwachen Passwörtern milliardenfach auf.

Gegenmaßnahme Nummer eins ist die Einführung eines Passwortmanagers für alle Mitarbeitenden, kombiniert mit einer Passwortrichtlinie, die Mindestlänge und Komplexität vorschreibt. Mindestens genauso wichtig: Mehrfaktor-Authentifizierung (MFA) für alle externen Zugänge. Wer MFA für VPN, Microsoft 365 oder das Webmail-Portal aktiviert, nimmt gestohlenen Zugangsdaten den größten Teil ihres Schadenspotenzials.

3. Ungesicherte Remote-Zugänge

Seit der Pandemie sind Remote-Zugänge in KMU zur Normalität geworden. Viele Unternehmen haben dabei schnell und unkompliziert geöffnet, ohne die Sicherheit nachzuziehen. Besonders der Remote Desktop Protocol (RDP) auf Port 3389 steht im Dauerbeschuss von automatisierten Scannern. Ein direkt aus dem Internet erreichbarer RDP-Port ohne MFA ist keine Sicherheitslücke mehr, das ist ein offenes Scheunentor.

RDP sollte grundsätzlich nicht direkt über das Internet erreichbar sein. Der Zugang läuft entweder über ein VPN oder einen gehärteten Jump-Host. Wer einen spezialisierten IT-Support Thüringen oder in der eigenen Region beauftragt, kann diese Konfigurationen auch ohne eigenes IT-Personal sicher umsetzen lassen. Zusätzlich empfiehlt sich eine Firewall-Regel, die den Zugang auf bekannte IP-Adressen beschränkt, soweit das betrieblich möglich ist.

4. Keine segmentierten Netzwerke

Flache Netzwerke ohne Segmentierung sind ein Traum für jeden Angreifer, der sich einmal Zugang verschafft hat. Gelangt Ransomware auf einen Rechner im selben Netz wie der Dateiserver, kann sie sich lateral ausbreiten und in Minuten den gesamten Datenbestand verschlüsseln. Genau das passierte 2021 einem mittelständischen Maschinenbauer in Sachsen, der nach einem Angriff über drei Wochen produktionsunfähig war.

Netzwerksegmentierung bedeutet nicht zwingend teure Hardware. Viele Managed Switches unterstützen VLANs, und eine einfache Trennung zwischen Büronetz, Servernetz und Gastnetz reduziert die Ausbreitungsmöglichkeiten dramatisch. Drucker, IoT-Geräte und Produktionsanlagen gehören nie ins selbe Segment wie kritische Server.

5. Unzureichende Datensicherung

Backups existieren in den meisten KMU. Das Problem liegt im Detail. Wer sein Backup auf einer Netzwerkfreigabe ablegt, die vom gleichen Rechner aus erreichbar ist, der verschlüsselt wird, hat kein nutzbares Backup. Ransomware-Gruppen wie LockBit und BlackCat suchen gezielt nach verbundenen Backup-Speichern und verschlüsseln diese als erstes.

Die 3-2-1-Regel ist der Mindeststandard: drei Kopien der Daten, auf zwei verschiedenen Medientypen, davon eine außerhalb des Unternehmens. Cloud-Backup-Dienste wie Veeam Cloud Connect oder Azure Backup erfüllen den Off-Site-Anteil zuverlässig und kostengünstig. Entscheidend ist außerdem der regelmäßige Wiederherstellungstest. Ein Backup, das sich nie restaurieren ließ, ist kein Backup.

6. Mangelnde Sensibilisierung der Mitarbeitenden

Phishing ist nach wie vor der häufigste initiale Angriffsvektor. Laut dem IBM Cost of a Data Breach Report 2023 beginnen 41 Prozent aller Sicherheitsvorfälle mit einer Phishing-Mail. Die Qualität dieser Mails hat sich erheblich verbessert. KI-generierte Texte ohne Rechtschreibfehler, personalisierte Anrede und täuschend echte Absenderdomains machen es selbst aufmerksamen Mitarbeitenden schwer.

  • Regelmäßige Schulungen: Mindestens einmal jährlich, besser quartalsweise, kurze Awareness-Sessions von 20 bis 30 Minuten.
  • Simulierte Phishing-Tests: Tools wie KnowBe4 oder die kostenlose GoPhish-Plattform ermöglichen realistische Tests ohne echten Schaden.
  • Klare Meldewege: Mitarbeitende müssen wissen, an wen sie eine verdächtige Mail weiterleiten, ohne Angst vor Konsequenzen zu haben.

7. Fehlende Inventarisierung der IT-Assets

Man kann nicht schützen, was man nicht kennt. In vielen KMU gibt es keinen aktuellen Überblick darüber, welche Geräte im Netz hängen, welche Softwareversionen laufen oder welche Lizenzen aktiv sind. Das führt dazu, dass alte Systeme weiter betrieben werden, weil niemand weiß, dass sie noch laufen. Ein Windows-Server 2008 ohne Patches in einer vergessenen Ecke des Netzwerks ist ein bevorzugtes Angriffsziel.

Ein einfaches Asset-Inventar in einer Tabelle ist besser als gar keines. Tools wie Lansweeper oder der kostenlose Spiceworks Network Scanner automatisieren die Bestandsaufnahme und liefern regelmäßig aktualisierte Listen aller Geräte, Betriebssysteme und installierten Anwendungen. Wer einmal weiß, was im Netz läuft, kann priorisieren und gezielt nachrüsten.

Fazit: Sicherheit ist kein Projekt, sondern ein Prozess

Keine dieser sieben Maßnahmen erfordert ein sechsstelliges Budget. Der größte Hebel liegt in Konsistenz und Dokumentation. Wer Patches einspielt, MFA aktiviert, Backups testet und Mitarbeitende schult, hat bereits mehr getan als ein Großteil der KMU in Deutschland. Cyberkriminelle optimieren ihren Aufwand genauso wie Unternehmen: Sie greifen die an, bei denen der Widerstand am geringsten ist. Wer die Grundlagen abdeckt, rückt aus dieser Zielgruppe heraus.

Mehr zum Thema "Digitales"

Kfz-Gutachter nach Unfall in Düsseldorf

Kfz-Gutachter nach Unfall in Düsseldorf

Nach einem Unfall in Düsseldorf stehen Betroffene oft vor der Frage: Brauche ich wirklich einen unabhängigen Kfz-Gutachter? Dieser Ratgeber erklärt, wann ein Unfallgutachten Pflicht ist, was es kostet und welche Rechte Geschädigte haben.

Weiterlesen »
Lostippen und erste Vorschläge sehen